當ISMS已經完成規劃、執行以及內部稽核活動後,ISMS週期最後一個重要活動就是要向最高管理階層報告ISMS在這一個週期 (通常是一年) 內運作的績效以及ISMS的活動狀態,讓最高管理階層確認ISMS是否有效的滿足由最高管理階層所制訂的政策,對ISMS一個週期的運作做一次總結,而這個報告的活動即為管理審查 (Management Review)。
管理審查是ISO管理系統主要活動週期的最後一個重要活動,旨在讓最高管理階層了解在一個週期之內管理系統的運作狀況,確認管理系統已達到必要的目標,符合組織的政策,並給予其允許管理系統持續運作的信心。
主條文9.3規定了管理審查所必須要報告 (輸入) 的事項,缺一不可:
主條文並沒有規定管理審查的形式。
管理審查大多以會議方式進行,若是較大的組織則可能會有委員會之類的團隊預先進行審查,再向最高管理階層報告審查結果的活動,無論活動的作法為何,管理審查之記錄都應該包含主條文9.3.2所規定之各個事項,以及最高管理階層的審查結果,活動中亦要包含對持續改善之機會 (9.3.2(g)) 相關之決策,以及任何對ISMS變更之需要的討論或審查,並將結果記錄下來,作為管理審查的執行證據。
當管理審查完成後,整個ISMS週期的活動即宣告完成,到了這個時候,組織應該已經累積了ISMS所有必要的強制性文件、各控制措施的管理制度及相關的執行記錄,以備外部稽核時作為審查及證據之用。當然,管理審查只是一個週期的結果,只要最高管理階層沒有下達廢除ISMS的指令,ISMS就仍然要依照組織所制訂的過程不斷的持續運作,以持續的發揮它應有的價值。